Des hackers chinois exploitent les routeurs Juniper avec des portes dérobées personnalisées

Posted on March 12, 2025
Les chercheurs en sécurité de Mandiant ont découvert une campagne de cyberespionnage ciblant des routeurs Juniper Networks Junos OS en fin de vie. Le groupe de hackers, identifié sous le nom d’UNC3886 et lié à la Chine, a déployé des portes dérobées personnalisées sur ces équipements obsolètes. Les attaquants ont obtenu un accès privilégié en utilisant des identifiants légitimes et ont contourné le mécanisme de protection de l’intégrité des fichiers veriexec de Junos OS.

Une fois à l’intérieur, les hackers ont utilisé des techniques d’injection de processus pour éviter toute détection, intégrant des portes dérobées offrant des fonctionnalités actives et passives. Un script intégré désactivait également les mécanismes de journalisation sur les appareils compromis. L’analyse a révélé qu’UNC3886 a utilisé une méthode “here document” pour générer un fichier encodé en base64, qui une fois décodé, contenait une archive compressée avec des charges malveillantes.

Mandiant a identifié six variantes de malware basées sur TINYSHELL, chacune adaptée à Junos OS, illustrant la connaissance approfondie des attaquants sur ce système. Le groupe a ciblé des services d’authentification réseau comme TACACS+ et des serveurs terminaux avec accès aux routeurs afin d’obtenir des privilèges élevés.

L’analyse complète des actions des attaquants a été compliquée par la nature propriétaire des équipements réseau compromis. Afin d’aider les équipes de sécurité à détecter d’éventuelles infections, Mandiant a publié des Indicateurs de Compromission (IOC) et des règles YARA.

Pour atténuer ces risques, il est fortement recommandé aux organisations de mettre à jour leurs routeurs Juniper vers la dernière version du firmware, qui intègre des mesures de sécurité améliorées. Il est également conseillé d’exécuter l’outil Juniper Malware Removal Tool (JMRT) avec une analyse rapide et un contrôle d’intégrité après la mise à jour. Face à l’évolution constante des menaces de cyberespionnage, maintenir les systèmes à jour et renforcer la surveillance restent des impératifs pour garantir la sécurité des réseaux.

Source: SecurityWeek

La European Cyber Intelligence Forum est un think tank à but non lucratif spécialisé dans le renseignement et la cybersécurité, offrant des services de conseil aux entités gouvernementales. Pour atténuer les menaces potentielles, il est important de mettre en œuvre des mesures supplémentaires de cybersécurité avec l’aide d’un partenaire de confiance comme INFRA www.infrascan.net, ou vous pouvez essayer vous-même en utilisant check.website.